请懂上位机解密的朋友帮忙看看如何修改ntdll.dll中的代码
我用OD发现一个程序A(关键代码见后)在执行完语句“73D3451B E8 D4E0FFFFcall <j mp.&msvcrt.memcpy>”后,通过eax返回了一个我比较感兴趣的值,关键代码如下73D34518 03C8 add ecx, eax
73D3451A 51 push ecx
73D3451B E8 D4E0FFFF call <jmp.&msvcrt.memcpy>
73D34520 8B06 mov eax, dword ptr
73D34522 83C4 0C add esp, 0C
为了获得这个eax的值,我用OD直接编写了一个函数,实现了将eax的值送到我自己编写的软件B中。也就是说,只要在73D34520处插入一个call语句调用我写的函数,就能将这个值送给软件B了。
但现在的问题是,这个call语句是插不进去的,因为73D34520处的代码在系统ntdll.dll中,修改这个dll是无效的,我试验过。甚至用内存补丁工具dUP编写内存补丁,都行不通.....
《加密与解密》第3版18.2.4 dll劫持技术第三自然段也提到了kernel32.dll, ntdll.dll等核心系统库是不能用dll劫持技术修改的,而我期望得到的数据仅在ntdll.dll中的某个eax指向的数据,跳出ntdll.dll后就再也找不到这个数据了,我必须在ntdll.dll中加入一条call语句来实现对这个数据进行操作,请问大家该怎么办??直接修改系统dll,会带来很多不确定的问题.....不知道各位高人还有没有什么方法来解决这个问题?? 哇,好高端的样子,不过在下不太懂,帮顶!楼主有去过看雪吗? 回复【1楼】bbsview
-----------------------------------------------------------------------
谢谢,我在pediy发帖了,几位版主也给了一些提示,才能做到现在这一步,但还没完全解决问题,所以到此寻觅高人丫!
原帖发在这的:http://bbs.pediy.com/showthread.php?t=130796
页:
[1]